OffNews.bg

Масово подслушване или борба с престъпленията срещу деца в ЕС

Опасения за масово подслушване предизвикват дебата за новите правила за предотвратяване и борба със сексуалното насилие над деца в Европейския съюз (ЕС). Те предвиждат принуждаване на интернет доставчиците и разработчиците на чат-приложения да сканират трафика за нелегален снимков или видеоматериал включват деца. Както и последващото му премахване онлайн. За да направят това, компаниите трябва да премахнат пълното шифриране от край до край (т.нар. End-to-end Encryption или E2EE).

То се наложи през последните години, като основно средство за криптиране на съобщенията в редица платформи. От една страна, заради технологичните предимства, които предоставя, от друга – частично заради изискванията на друга европейска директива, тази за опазване на личните данни, позната като GDPR.

В рамките на дискусиите в ЕС за новите правила се откроиха два основни лагера. Първият, смята, че с тях се слага край на пълното шифриране на дигиталните съобщения между потребителите, което отваря вратата за масово подслушване. Подобни прецеденти има в историята, някои от които станаха достояние след разкритията на Едуард Сноудън през 2013 г. Според защитниците на новите правила, не трябва да се правят компромиси, когато става дума за защита на децата от сексуални посегателства.

Правила с опция за вратичка

Финалното предложение за регламент на Европейския парламент (ЕП) и на Съвета на ЕС за определяне на правила за предотвратяване и борба със сексуалното насилие над деца е входирано през май 2022 г. То е по-познато в Брюксел като „регламентът CSA“ (CSA – Child Sexual Abuse).

Сред част от предложенията в него влизат няколко важни изисквания към интернет доставчиците, разработчиците на приложения и операторите на големите онлайн магазини. Те трябва да могат да сканират съдържанието, което минава през тях, за да могат да засичат незаконни материали свързани със сексуално насилие над деца. След което да ги записват, премахват и след това да ги съобщават в Брюксел в регулярни доклади.

Доставчиците на тези дигитални услуги могат да предприемат и различни мерки за намаляване на риска на излагане на самите деца до такова съдържание. Както и да се полагат усилия самите подрастващи да не ползват приложения, които са описани като рискови, че се използват за такава престъпна цел.
Конфликтът с шифрирането

Повечето чат платформи и други системи за пряка междуличностна комуникация, като Viber, Messenger, Skype, WhatsApp и др. използват шифриране от край до край (E2EE). Ако двама души си пишат през смартфоните, примерно Иван и Пешо, техните съобщения се закодират при преноса. При пълно налагане на E2EE, единствените устройства, които могат да ги разшифроват са тези на Иван и Пешо. Сървърите на компанията не разполага с дигиталните ключове за това и не може да разчете съобщенията.

За да могат компаниите да сканират съобщенията те трябва да променят системите си и вече и те да разполагат с разшифроващите ключове. С което се елиминира идеята за пълно E2EE, защото вече няма да е от край до край или от устройство до устройство. Самото криптиране се налага поради няколко причини, едната е, че подсилва киберсигурността на съобщенията. Другата е, че то е насърчавано от ЕС чрез Общия регламент за защита на данните (познат повече като GDPR), макар и да не го налага изрично. Затова, не всички чат приложения го прилагат, а при някои е предоставено като опция.

Опасенията за масово подслушване

Отслабването на E2EE се разглежда от различни неправителствени организации като предпоставка за масово подслушване от страна на властите. В подобен дух е позицията на „Електронна граница България“, които смятат, че това ще отвори вратата за масово и индискриминативно сканиране на всички съобщения без съдебна заповед и без контрол.

„За да бъде изпълнено такова условие в доставчици на електронни услуги, използващи шифроване от край до край, би означавало изработката на механизъм за прекъсване на този процес, което отваря много врати за неоторизиран достъп, за нарушаване на правата на личната кореспонденция, фирмената, военната и държавни тайни“, се пише в позицията на организацията. Те добавят още, че „сканирането, ще е за всички, без съдебна заповед и извършвано от частни субекти“.

Подобния изказвания са направени и от други европейски тинк-танкове. Общо 48 организации, сред които European Digital Rights (EDRi) настояват да бъде изтеглена директивата и да не бъде приемана. И призовават, ЕС да инвестира в мерки за превенция за създаването на такова съдържание, а не елиминирането му пост фактум.

„ЕК говори много за опазване на личните данни, но всъщност дава зелена светлина на националните правителства да премахнат криптираните съобщения“, коментира Яел, Осовски, зам.-директор в Consumer Choice Center, група за защита на потребителските права, цитиран от Forbes.

Те са подкрепени и от няколко исторически примера. През 2013 г. разкритията на Едуард Сноудън показаха, че щатската Агенция за национална сигурност (NSA) е имала вратичка за сканиране на съобщенията в Skype. Тя им е предоставена от Microsoft, след като технологичният гигант придобива естонския стартъп. Това става въпреки твърденията, че чат приложението има шифриране от край до край.

Разнобоят между държавите-членки

„Директивата CSAM“ трябав да бъде гласувана на Съвета на ЕС през есента, след като има силни разногласия между държавите-членки. България е „За“ нея, но в същия момент защитава идеята да не се отслабва шифрирането от край до край. От „Електронна граница България“ призовават българското правителство да промени позицията си и да се обяви плътно „Против“ нея.

В изтекли работни документи на Съвета на ЕС от началото на 2023 г. в сп. Wired може да се проследят с повече детайли, коя държава къде стои. Въпреки, че след това има няколко ревизии на директивата, разнобоят между държавите продължава и през настоящата година. Българската позиция в документа е кратка, доста обща и без конкретни предложения:

„България не подкрепя отслабване на E2EE, защото то е важно в осъществяването на сигурни комуникации. Настояваме да се добавят механизми за защита на E2EE“.

По подобен начин са формулирани и част от отговорите на Нидерландия и Дания, които искат да може да се направи техническо решение, което да сканира само вредно съдържание, без да се разкрива останалото.

В същия момент, Испания се оказва най-големият враг на пълното криптиране. От Мадрид в пряк текст казват, че според тях „идеално би било да се наложи законодателна забрана за използването на E2EE на доставчиците на услуги в ЕС“. Южната държава прави три опита да задвижи максимално бързо директивата по време на нейното председателство през втората половина на 2023 г. Това създава и опасенията, че директивата е само повод на някои правителства да се опитат да премахнат E2EE криптирането.

Някои други страни-членки го казват по-завоалирано. Според Хърватска „е от изключителна важност да се формулират текстовете така, че E2EE да не е оправдание за неспазване на директивата“. Словения смята, че сканирането трябва да обхваща и зашифровани мрежи, а Румъния не иска E2EE да се превръща в „безопасно място за злонамерени лица“.

На противоположния полюс е Германия, която е против сканиране на E2EE трафика. Тя е подкрепена от Естония и Финландия. Документът предоставен от Wired е изработен в по-ранните фази на дискусиите по темата. Но показват динамиката и първоначалните позиции на редица държави. Опасенията за масово подслушване остават, а отслабването на шифрирането от край до край предразполагат за такова.